Oficial de Protección de Datos Personales

Así mismo, el artículo 2.2.2.25.4.4. del Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (Decreto 1074 de 2015) establece la obligación de “designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012”. Dicha obligación se encuentra a cargo de las empresas que actúen como responsables o encargados del tratamiento de datos personales, conforme a las definiciones establecidas en la Ley 1581 de 2012.

En ese sentido, el Oficial de Protección de Datos Personales (OPD) es la persona encargada de verificar el cumplimiento de la normatividad vigente en materia de protección de datos personales al interior de las empresas, dando trámite a las solicitudes de los titulares para el ejercicio de sus derechos, velando por la implementación efectiva de las políticas y procedimientos adoptados y la implementación de buenas prácticas de gestión de datos personales. Así mismo, el OPD deberá estructurar, diseñar y administrar el programa que permita a la Empresa cumplir con la regulación sobre protección de datos personales.

Teniendo en cuenta lo anterior, es muy importante que los responsables y encargados del tratamiento de datos personales realicen el nombramiento de un OPD con el fin de dar cumplimiento a la norma y demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones de la Ley 1581 de 2012, en virtud del principio de responsabilidad demostrada indicado en el artículo 2.2.2.25.6.1. del Decreto 1074 de 2015.

Es muy importante resaltar que es factible tercerizar las funciones de OPD a una organización especializada en la materia que ofrezca servicios profesionales en este campo. Igualmente, es posible que una entidad externa provea servicios de OPD a múltiples responsables y encargados del tratamiento de los datos personales.

El papel del Oficial de Protección de Datos Personales

El papel desempeñado por el OPD radica en asegurar la ejecución eficaz de las políticas y procedimientos adoptados por la Entidad con el fin de dar cumplimiento al Régimen de Protección de Datos Personales vigente en Colombia. Además, debe supervisar la puesta en marcha de prácticas sólidas en la gestión de información personal dentro de la empresa.

No obstante, el OPD no asume responsabilidad ante eventuales incumplimientos del marco establecido en la ley, ya que esta obligación recae directamente sobre los responsables y encargados del tratamiento de los datos personales, a quienes se les impone la tarea de asegurar y ser capaces de evidenciar que dicho tratamiento se ejecuta de acuerdo con las directrices indicadas en la norma.

Por lo tanto, el responsable y el encargado del tratamiento tienen un rol esencial en la facilitación del cumplimiento exitoso de las tareas confiadas al OPD, ya que este último deberá encargarse de la instauración de los mecanismos de control correspondientes al programa de protección de datos personales, su evaluación constante y su revisión periódica.

Responsabilidades del Oficial de Protección de Datos Personales

La obligación principal y general del OPD es la de supervisar el cumplimiento del Régimen General de Protección de Datos Personales. No obstante, es importante mencionar algunas obligaciones específicas de supervisión ligadas al Régimen de Protección de Datos Personales, las cuales son:

1. Realizar un análisis exhaustivo y verificar rigurosamente el cumplimiento normativo de las actividades relacionadas con el tratamiento de datos personales.
2. Informar, asesorar y proporcionar recomendaciones al responsable o al encargado del tratamiento de datos personales, impulsando una cultura de protección de datos personales.
3. Recolectar información para definir las actividades necesarias para el tratamiento de datos personales.
4. Fomentar la creación y aplicación de un sistema que facilite la gestión de los riesgos asociados al tratamiento de datos personales como estrategia de protección de la privacidad y coordinar la definición e implementación de controles.
5. Desempeñar el papel de enlace y coordinador con las distintas áreas de la organización con el propósito de asegurar una implementación completa y transversal del Programa Integral de Gestión de Datos Personales.
6. Encargarse del registro de las bases de datos de la organización en el Registro Nacional de Bases de Datos y mantener actualizado el reporte conforme a las directrices emitidas por la Superintendencia de Industria y Comercio.
7. Obtener la certificación de las Normas Corporativas Vinculantes por parte de la Superintendencia de Industria y Comercio, cuando sea requerido.
8. Verificar los contenidos de los contratos de transferencias internacionales de Datos personales que se suscriban con otros responsables y encargados del tratamiento de los datos personales, ya sean estos ubicados en territorio colombiano o en el extranjero.
9. Examinar las obligaciones inherentes a cada cargo de la organización, esto con el fin de establecer para cada uno de los cargos, un programa de entrenamiento para la protección de Datos personales, en el cual se medirá la participación y se calificará el desempeño.
10. Incorporar las políticas de protección de datos en las operaciones en todas las diferentes áreas de la organización.
11. Solicitar que, como parte de la evaluación de rendimiento de los empleados, se incluya el requisito de haber finalizado con éxito el programa de capacitación en datos personales.
12. Brindar apoyo y asesoramiento a la organización durante el proceso de atención a las visitas y solicitudes realizadas por la Superintendencia de Industria y Comercio.
13. Realizar seguimiento a la ejecución y evolución del Programa Integral de Gestión de Datos Personales.

Sanciones frente al incumplimiento en la Protección de Datos Personales

El no cumplimiento de las obligaciones y responsabilidades establecidas en la ley respeto al Régimen de Protección de Datos Personales podría resultar en la imposición de las siguientes sanciones por parte de la Superintendencia de Industria y Comercio:

1. Multas de carácter personal e institucional que podrían llegar hasta 2.000 salarios mínimos legales mensuales vigentes.
2. La suspensión de actividades relacionadas con el tratamiento de datos personales hasta por un periodo de seis meses.
3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Teniendo en cuenta lo anterior, recomendamos realizar el nombramiento del OPD para dar efectivo cumplimiento al Régimen de Protección de Datos Personales.